Kullanıcıların bir uygulamaya erişmek için kimliklerini en az iki faktörle doğrulamasını gerektiren çok faktörlü kimlik doğrulama (MFA), önemli verilere erişim konusunda ciddi önem arz ediyor. Durum öyle ki, ihlal edilen hesapların tamamında MFA kullanılmadığı görülüyor. Gerçekleştirdiği koruma stratejisi nedeniyle geçen yıla oranla şirketlerde kullanımı %12 artan MFA’nın işlevselliği ise çeşitli problemlerden dolayı zaman zaman etkili olamıyor. Ağ güvenliği ve zekası, güvenli Wi-Fi, gelişmiş uç nokta güvenliği ve çok faktörlü kimlik doğrulamanın önde gelen küresel sağlayıcısı WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, şirketlerde etkili bir çok faktörlü kimlik doğrulama stratejisinin uygulanabilmesi için 5 önemli ipucunu sıralıyor.
1. MFA’nın seçim olmasına izin vermeyin. Şirketlerde MFA uygulanacaksa, bu çalışanlar için bir tercih durumunu kapsamamalı. Şirketler arasında MFA’nın etkinliğini yitirmesinin başlıca sebebi bunun çalışanlara tercih olarak sunulmasından başlıyor. Şirketlerde MFA kullanımı tercih değil, zorunluluk olmalıdır.
2. MFA ile sürtüşecek zayıf uygulamalara yer vermeyin. MFA kullanmak güvenlik kontrollerinde fazladan bir adım olarak görülüyor. Ancak görevi önemli olan kimlik doğrulamasını kolaylaştıracak süreci kapsıyor. MFA, siber yorgunluğu artırmak için değil, azaltmak için kullanılmalı. Bu yüzden MFA kullanımı sırasında kullanıcıları yoracak mevcut zayıf uygulamaları kaldırarak, kimlik doğrulamayı kolaylaştırmak gerekiyor.
3. Çok faktörlü kimlik doğrulamayı yalnızca belirli çalışanlar ve uygulamalar için kullanmayın. Şirketler arasında en sık görülen hatalardan biri de MFA’yı sadece önemli olduğu düşünülen departman ve çalışanlara yönelik kullanmaktan geçiyor. Ancak hackerlerin hiç ummadık bir açıktan ve çalışan üzerinden saldıracağının unutulmaması gerekiyor. Tüm çalışanların ve uygulamaların kritik öneme sahip olduğunu varsayarak, herkes ve hassas veriler içeren tüm uygulamalar için MFA’yı zorunlu kılmak gerekiyor.
4. Tek başına SMS doğrulamasına güvenmeyin. Kimlik doğrulaması için kısa mesaj kullanmak, hiçbir önlem almamaktan iyi görünüyor. Ancak bunu da uygulamak bir dizi güvenlik sorununu beraberinde getiriyor. SMS kodu kimlik doğrulaması, aynı zamanda mobil kimlik avı ve SIM Swapping saldırılarının yaşanmasına neden oluyor. Sadece SMS yoluyla bir kimlik doğrulama kodu göndermeye güvenmek yerine, bir kimlik doğrulama uygulamasının kullanılması daha güvenli sonuçlar oluşturuyor.
5. Kullanımı zor ve karmakarışık çözümleri uygulamayın. Şirketler belirli bir alandaki kimlik doğrulamayla ilgili sorunları ele almak için bir ihlalden veya denetimden sonra MFA uygulamaya çabalıyor. Ancak seçilen araçların çok dar kullanım sunmaları şirketleri aynı yerde olmasa da başka alanlarda zarara uğratıyor. Ayrıca sahip olunan araçların kullanımının zor ve karmaşık olmasının da MFA’dan beklenilen etkiyi görmemelerine neden olduğunu aktaran Evmez, şirketlerin pahalı donanımlara ihtiyaç duymadan, büyük bütçeler harcamadan bulut tabanlı çok faktörlü kimlik doğrulama hizmetine sahip olabileceğine dikkat çekiyor.